Andrea Baldi ESA/ESRIN V Incontro GARR Roma 25.11.2003
Transcript
Andrea Baldi ESA/ESRIN V Incontro GARR Roma 25.11.2003
Mobilita’ in ESA ESACOM WLAN e e Andrea Baldi ESA/ESRIN V Incontro GARR Roma 25.11.2003 Informatics Department Directorate of Administration Contenuti o ESA ed i suoi requisiti di mobilita’ o Prima e dopo l’avvento delle reti wireless o La ESACOM Wireless LAN o Il progetto ESACOM WLAN o Le scommesse tecniche o Il Disegno della ESACOM WLAN o Conclusioni e Informatics Department Directorate of Administration ESA EUROPEAN SPACE AGENCY o ESA e’ un’ organizzazione internazionale con lo scopo di promuovere l’ utilizzo di scienza, ricerca & sviluppo e applicazioni nel campo spaziale o ESA ha sedi in tutto il mondo con grande concentrazione in Europa ‰ Oltre 30 siti interconnessi in Wide Area Network ‰ Oltre 4000 utenti della rete ‰ Manager, ricercatori, tecnici, amministrativi e visitatori e Informatics Department Directorate of Administration Siti ESA Kiruna ESTEC (Noordwijk) Establishments Offices Brussels ESA Paris Toulouse ESA ground stations Ground stations used by ESA Ariane downrange stations Villafranca CDN Washington Houston e Kourou Redu EAC Cologne ESOC (Darmstadt) ESRIN (Frascati) Fucino Moscow Maspalomas Libreville Natal Malindi Ascension Informatics Department Perth Directorate of Administration Requisiti di Mobilita’ in ESA o Mobilita’ Interna al campus ‰ Movimento di personale dagli uffici in sale riunioni ed aree dedicate a progetti per lavoro collaborativo ‰ Visitatori che regolarmente fanno business con ESA o Altissima mobilita’ fra i siti principali ‰ 25.000 missioni l’anno con 50 persone in missione con frequenza settimanale ‰ Per riunioni, seminari, attivita’ di progetto, eventi o ESA staff in visita ad altre organizzazioni ‰ Agenzie spaziali o partner nazionali ed Internazionali come Nasa, ASI, DLR, CNES o ESA organizza workshop e confererenze con e massiccia partecipazione di esterni Informatics Department Directorate of Administration Prima della Wireless LAN o Prima della Wireless LAN ‰ Ci si doveva spostare con raccoglitori pieni di carta, dischetti e cdrom ‰ Si doveva pianificare con grande anticipo spostamenti, installazioni e dimostrazioni da fare ‰ Si doveva conoscere il luogo esatto delle riunioni e quali attrezzature erano disponibili sul sito ‰ Molto spesso le informazioni necessarie per svolgere il proprio lavoro non erano a disposizione in tempo o mancava sempre qualche cosa o La Wireless LAN fornisce una risposta precisa ai requisiti precedentemente esposti ed una soluzione pratica ai problemi elencati e Informatics Department Directorate of Administration Con la Wireless LAN o Gli utenti oggi si spostano con il loro laptop ed hanno accesso a tutti i servizi esistenti sulla rete esattamente come nel proprio ufficio (posta, database, agenda, applicazioni, Internet). o Tutto cio’ si traduce in ‰ Efficienza ed incremento della produttivita’ ‰ Sfruttamento di tempi morti nelle riunioni ‰ Flessibilita’ ‰ Accesso ai servizi ed alle informazioni indipendentemente dal luogo ‰ ........ ma anche nuovi problemi da affrontare e Informatics Department Directorate of Administration La ESACOM WLAN o La ESACOM WLAN e’ la rete Wireless installata nei 4 siti principali dell’ ESA per rispondere ai requisiti di mobilita’ del proprio personale e dei suoi visitatori. o Copre al momento 60 sale pubbliche destinate a riunioni e conferenze e sale dedicate a progetti o Altre 20 sale sono gia’ fase di allestimento ‰ molte delle quali dedicate a progetti per lavoro collaborativo o Nuovi siti pianificati nel 2004 o Conta ad oggi 500 utenti o 1000 utenti, previsti per il 2004 e Informatics Department Directorate of Administration Il Progetto e Le Sue Fasi o Un progetto IT tradizionale: ‰ Definizione ‰ Approvazione ‰ Analisi ‰ Implementazione Pilota ‰ Disegno ‰ Implementazione ‰ Test e Accettazione ‰ Roll out ‰ Operazioni ‰ Evoluzione e Informatics Department Directorate of Administration Attivita’ Importanti o Studio della tecnologia Wireless o Definizione dei requisiti con il supporto di un working o o o o o o group sulla mobilita’ Realizzazione di un pilota Analisi dei costi e del ritorno dell’ investimento (ROI) Identificazione delle risorse umane e pianificazione Definizione del concetto operativo e delle policy di accesso Survey dei siti e installazione Analisi dei rischi legati agli aspetti di sicurezza e Informatics Department Directorate of Administration Survey Dei Siti o Essenziale per produrre le specifiche dettagliate ‰ Definizione e disegno dei canali ‰ Selezione dell’antenna ‰ ‰ ‰ ‰ ‰ appropriata Determinazione dei parametri radio Analisi delle interferenze RF Roaming Requisiti di cablaggio Requisiti alimentazione l Power over the Ethernet e ‰ Fotografia dell’ambiente Informatics Department Directorate of Administration 429 430 ROOM B ELEVATOR FOYER 344 247 ROOM A 345 - 368 248 249 153 154 140 139 R38 ELEVATOR ELEVATOR KANTINE 250 - 268 ELEVATOR 138 R32 137 R31 VIP 124 R30 R28 123 R22 114 115 R19 401 ELEVATOR 403 301 ELEVATOR 302 2001 ELEVATOR 2002 201 ELEVATOR 202 101 ELEVATOR 102 R01 ELEVATOR R02 KANTINE / COFFEE CORNER Sicurezza o Il WEP (Wired Equivalent Protocol), parte dello standard 802.11, e’ insicuro ‰ Progettato per indirizzare sia l’autenticazione che la criptografia risulta carente su entrambi i fronti ‰ Confidenzialita’ l l l riutilizzo dello stream cifrato vettore di Inizializzazione non cifrato la stessa chiave usata per tutte le stazioni ‰ Integrita’ l il CRC usato come controllore dell’integrita’ non e’ crittograficamente sicuro ‰ Autenticazione l basata su indirizzo Mac e non su credenziali l si autentica solo il cliente (rouge access point) e Informatics Department Directorate of Administration Sicurezza o Lo standard 802.11b fallisce nel definire come devono essere distribuite le chiavi ‰ La distribuzione statica delle chiavi non scala oltre poche unita’ l l va bene per casa ma impossibile da gestire gia’ in una piccola azienda ‰ Se chi possiede la chiave lascia l’organizzazione o un PC viene perduto/rubato e’ necessario cambiare le chiavi per tutti. o WEP e’ stato violato ‰ http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html e Informatics Department Directorate of Administration Sicurezza o Nelle reti Wireless esiste il requisito per un piu’ elevato livello di sicurezza ‰ Mutua Autenticazione l Utente --> Rete, l Rete --> Utente ‰ Gestione dinamica delle chiavi l diverse per ogni utente, l per ogni sessione l ed uso limitato net tempo ‰ Controllo degli accessi alla rete ‰ Monitoraggio ‰ Accounting (per WISP) e Informatics Department Directorate of Administration Alternative al WEP o SSH o IPSEC ‰ Solo per la criptografia l Sicuro ma difficile da implementare l Piu’ alto costo, prestazioni meno scalabili, roaming problematico o 802.1x (LAN port authentication) e EAP (Extensible Authentication Protocol) ‰ Mutua autenticazione l dell’utente da parte della rete l della rete da parte dell’utente ‰ trasportabile su ogni link protocol ‰ Supporta diversi tipi di autenticazione l EAP-TLS, TTLS, PEAP, LEAP e Informatics Department Directorate of Administration 802.1x EAPOW Authenticator EAP Over Radius Authentication Server Radius EAPOL Supplicant Window Domain Controller e Informatics Department Directorate of Administration Autenticazione o PEAP: Protected Extensible Authentication Protocol ‰ PEAP usa un tunnel sicuro per il metodo EAP ‰ Mutua autenticazione ma non supporta metodi tradizionali come PAP e CHAP o EAP-TLS ‰ Mutua autenticazione ma richiede certificati sia sul server che sui clienti. ‰ Complessa da gestire senza un’ infrastruttura PKI ‰ I clienti si autenticano sulla rete con un metodo EAP o con un metodo tradizionale come PAP,CHAP, MS CHAP, o MS CHAP V2. e Informatics Department Directorate of Administration Autenticazione o TTLS (Tunneled Transport Layer Security) ‰ simile a TLS ma senza la distribuzione di certificati sui clienti. Il certificato risiede solo sul server ‰ i clienti autenticano il server sul tunnel criptato ‰ dopo l’ autenticazine il dialogo prosegue utilizzando le chiavi scambiate in fase di autenticazione o LEAP proprietario CISCO (Lighweight Extensible Authentication Protocol) ‰ Altamente diffuso, e’ stato il primo metodo disponibile sul mercato a rispondere ai problemi del WEP ‰ CISCO ha messo le specifiche a disposizione dei piu’ importanti produttori WiFi (supportato da Apple Airport, Intel Centrino) e Informatics Department Directorate of Administration Scelte Per ESACOM WLAN o Tecnologia basata su IEEE standards ‰ Standard 802.11b come Wireless LAN ‰ Autenticazione 802.1x con CISCO LEAP l Unica soluzione completa ragionevolmente sicura disponibile nel 2002 o Soluzione basata su fornitore unico ‰ Cisco l PC Cards: Cisco Aironet 350 ‰ Supporto per MAC OS X, Linux oltre a Windows l l l Access points: Cisco Aironet 350/1200 AAA Servers: CISCO ACS Gestione , aggiornamento, monitoraggio Wireless LAN ‰ e Cisco Wireless LAN Solution Engine Informatics Department Directorate of Administration Disegno Di ESACOM WLAN AAA Server CISCO ACS NT PDC Border Router DHCP DHCP ESA ISN ESA ESN Firewall AP e Internet AP WLSE Informatics Department Directorate of Administration ESACOM WLAN AAA Servers ESRIN ACS CISCO LEAP ESTEC ACS e ESOC ACS ESACOM IP VPN CISCO LEAP CISCO LEAP ESAHQ ACS Informatics Department Directorate of Administration NUOVA ESACOM WLAN AAA Server CISCO ACS Active DIRECTORY DHCP WLSE ESA ISN ESA ESN Border Router DHCP Internet Firewall ESA VLAN/WLAN e Dual Band SSID/VLAN AP Visitor VLAN/WLAN Informatics Department Directorate of Administration Operazioni o Operazioni della Rete Wireless effettuate attraverso una stazione di management dedicata ‰ Gestione e mantenimento dell’infrastruttura l Aggiornamento del firmware e delle configurazioni l riconfigurazione veloce degli apparati per eventi particolari ‰ Supporto all’ utente l Sito WEB l Helpdesk l Tecnici ‰ Procedure Operative ‰ Evoluzione e Informatics Department Directorate of Administration Nuove Scommesse o Analisi ed integrazione di nuovi standard ‰ 54Mbps: 802.11G 2.4 GHz, & 802.11A GHz, ‰ 802.11E Qualita del Servizio (QoS) ‰ 802.11F Inter Access Point Protocol (IAPP) ‰ 802.11I Sicurezza (WPA: WiFi Protected Access) o WiFi Hotspot per utenti spesso fuori sede con accesso via IPSEC e https o Ad hoc networking & Zerooconf o Voce su WLAN (VoWLAN) e Informatics Department Directorate of Administration Conclusioni o ESACOM WLAN ha rivoluzionato il modo di lavorare degli utenti ESA ed e’ uno fra i servizi piu’ apprezzati nel 2003 o Le scommesse tecniche da affrontare per la realizzazione di una rete wireless sicura richiedono competenze su tutti i fronti IT ‰ Standard, Sicurezza, IP , LAN, RF, Cablaggio o La Sicurezza ha un ruolo fondamentale o C’e’ differenza fra installare la rete wireless a casa o in una realta’ aziendale o Si apriranno nuove ed entusiasmanti possibilita’ per avvicinarsi al concetto di ubiquita’ e Informatics Department Directorate of Administration Riferimenti WiFi Alleance Cisco Wireless Zeroconf WiFi planet IEEE Oreilly WEP 802.1x 802.1x Apple Airport AirDefense TERENA Mobilty WiFi hotspots AAA e http://www.wi-fi.org/ http://www.cisco.com/en/US/tech/tk722/tech_topology _and_network_serv _and_protocol_suite_home.html http://www.zeroconf.org/ http://www.wi-fiplanet.com/ http://www.ieee802.org/ http://wireless.oreilly.com/ http://www.isaac.cs.berkeley.edu/isaac/wep-faq.html http://www.mtghouse.com/ http://www.funk.com/ http://www.apple.com/airport http://www.airdefense.net/ http://www.terena.nl/tech/index_mobility.html http://www.wi-fihotspotlist.com/ http://www.surfnet.nl/innovatie/wlan/ Informatics Department Directorate of Administration